Column


Column Bart Verhaar

Zo minimaliseer je de insider threat

Of het nu gaat om een mailtje dat naar de verkeerde contactpersoon wordt gestuurd, of een NAS die onbeveiligd aan het internet hangt; vaak zijn niet hackers maar ‘insiders’ de oorzaak van een datalek. Wat zijn de mogelijkheden om de ‘insider threat’ binnen de perken te houden?

Medewerkers de zwakke schakel
Interne bedreigingen vormen een van de grootste zwakke plek in security. Volgens het Global Threat Report 2016 van securitybedrijf Forcepoint worden vier op de tien datalekken veroorzaakt door interne incidenten. Daarvan wordt 56 procent zonder opzet veroorzaakt, 26 procent gebeurt met opzet en de resterende 18 procent is een combinatie van beide.

Van incidenten die het gevolg zijn van onopzettelijk handelen hebben we het afgelopen jaar meerdere voorbeelden gezien. Zo werd in Amersfoort een e-mail met gevoelige informatie van 1800 inwoners per abuis naar een verkeerd e-mailadres gestuurd. Europol kwam pijnlijk in het nieuws nadat bleek dat een medewerker vertrouwelijke politiedossiers open en bloot op een beveiligde NAS had gezet.

Datalekken als gevolg van opzettelijk handelen halen ook regelmatig het nieuws. Het bekendste voorbeeld van een insider die willens en wetens documenten lekte, is klokkenluider Edward Snowden. Als systeembeheerder werkzaam voor de NSA kopieerde hij geheime documenten over de spionageactiviteiten van de Amerikaanse afluisterdienst en speelde hij de informatie door aan journalisten.

Insider threat beperken
Ook onderzoekers van het Ponemon Institute constateerden onlangs dat eigen medewerkers de grootste digitale dreiging vormen. Er zijn meerdere manieren om de ‘insider threat’ te beperken. Dit kan onder andere door gebruik te maken van:

Data Leakage Prevention (DLP). Met DLP kun je op basis van eigenschappen van data en gebruikersrechten bepalen welke handelingen zijn toegestaan en welke moeten worden geblokkeerd of gemonitord. Zo is het mogelijk om het mailen van vertrouwelijke dossiers of het kopiëren van data naar een USB-stick voor bepaalde afdelingen binnen een organisatie te blokkeren.

Identity and Access Management (IAM). Door IAM goed in te richten, kan bijvoorbeeld de toegang tot vertrouwelijke gegevens zoveel mogelijk worden beperkt. Daarmee wordt ook de kans kleiner dat gevoelige informatie per ongeluk of opzettelijk naar buiten wordt gebracht.

User Behavior Analytics (UBA). Inzicht in het gedrag van de mensen die met de gevoelige data werken, is een van de belangrijkste factoren bij het beschermen van bedrijfsdata. Een verandering in het gedrag van de insider kan een indicatie zijn dat een poging gedaan wordt om gevoelige data naar buiten te brengen. Denk bijvoorbeeld aan een medewerker die ‘ineens’ grote hoeveelheden data kopieert naar een USB-stick of opvallend vaak gebruikmaakt van een privé-e-mailadres.

UBA wint terrein
UBA staat nog redelijk in de kinderschoenen, maar zal dit jaar vaste voet aan de grond krijgen. Er duiken dan ook steeds meer bedrijven op die tools bieden voor het analyseren van gebruikersgedrag. In de ‘Market Guide for User and Entity Behavior Analytics’ uit december 2016 bespreekt Gartner maar liefst 29 fabrikanten die UBA-functionaliteit of een UBA-platform aanbieden, en merkt daarbij op dat de lijst verre van compleet is. Bekende namen in het overzicht zijn onder andere IBM, CA Technologies en Forcepoint.

In enkele gevallen beschikken deze tools zelfs over een ‘opnamemodus’. Zo kan een datalek niet alleen worden voorkomen, maar kan verdacht gedrag ook nader worden onderzocht. Hiermee is bijvoorbeeld de vraag te beantwoorden of een medewerker opzettelijk iets fout heeft gedaan, of malware namens hem.


Dit artikel is eerder verschenen op beveiligingswereld.nl en grafimediawereld.nl

Lees meer over